2
IPSEC VPN (Site2Site) bricht Child SA ab - ZyXEL USG - PfSense
Hallo und Guten Morgen zusammen,
habe mich schonmal durchs Forum gewühlt aber nicht wirklich die Lösung auf mein Problem gefunden.
Folgender Aufbau:
Site-to-Site VPN IpSEC (nativ) Tunnel zwischen PfSense und ZyXEL USG 20.
In unregelmäßigen Zeitabständen bricht die VPN ab und baut sich nicht wieder selbst auf, dazu muss die ZyXEL neu gestartet werden.
Wenn man sich die VPN-Übersicht in der PfSense ansieht, merkt man dass die Phase1 steht, allerdings die Child SA abgebrochen ist (keines mehr vorhanden). Disconnectet man nun die Phase1, so baut sich der Tunnel wieder korrekt auf.
An den Lifetimes kann es nicht liegen, die habe ich 3 mal geprüft.
Lustigerweise hängt an der PFSense noch eine ZyXEL USG 60, mit exakt denselben Einstellungen. Diese funktioniert super (anderer Standort).
Sollten die LOGs helfen kann ich diese gerne heute Nachmittag noch hochladen.
Aber vlt. hat ja jemand schonmal dasselbe Problem gehabt.
Vielen Dank für Eure Hilfe
Christian
habe mich schonmal durchs Forum gewühlt aber nicht wirklich die Lösung auf mein Problem gefunden.
Folgender Aufbau:
Site-to-Site VPN IpSEC (nativ) Tunnel zwischen PfSense und ZyXEL USG 20.
In unregelmäßigen Zeitabständen bricht die VPN ab und baut sich nicht wieder selbst auf, dazu muss die ZyXEL neu gestartet werden.
Wenn man sich die VPN-Übersicht in der PfSense ansieht, merkt man dass die Phase1 steht, allerdings die Child SA abgebrochen ist (keines mehr vorhanden). Disconnectet man nun die Phase1, so baut sich der Tunnel wieder korrekt auf.
An den Lifetimes kann es nicht liegen, die habe ich 3 mal geprüft.
Lustigerweise hängt an der PFSense noch eine ZyXEL USG 60, mit exakt denselben Einstellungen. Diese funktioniert super (anderer Standort).
Sollten die LOGs helfen kann ich diese gerne heute Nachmittag noch hochladen.
Aber vlt. hat ja jemand schonmal dasselbe Problem gehabt.
Vielen Dank für Eure Hilfe
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 326816
Url: https://administrator.de/contentid/326816
Printed on: April 19, 2024 at 21:04 o'clock
2 Comments
Latest comment
Generell sind unterschiedliche Cipher Lifetimes und, wenn konfiguriert, Timeouts und Link Keepalives das Problem für sowas wenn die nicht auf beiden Seiten gleich sind.
Kann auch sein das statt Agressive Mode fälschlicherweise der Main Mode verwendet wurde in der IPsec Konfig.
Da du aber eine stabil laufende Verbindung hast in der Kombination und (hoffentlich) alles quergecheckt hast kann man das vermutlich ausschliessen.
Bleibt dann also nur auf einen Bug in der Firmware der USG20 zu tippen... Hast du mal drauf geachtet das die 20er und 60er dasgleiche Firmware Image Release verwenden bzw. hier alles auf dem neuesten Stand ist ?!
Gibt es irgendwelche relevanten, beidseitigen Log Einträge wenn es zum Abbruch und Wiederaufbau Versuch kommt ??
Kann auch sein das statt Agressive Mode fälschlicherweise der Main Mode verwendet wurde in der IPsec Konfig.
Da du aber eine stabil laufende Verbindung hast in der Kombination und (hoffentlich) alles quergecheckt hast kann man das vermutlich ausschliessen.
Bleibt dann also nur auf einen Bug in der Firmware der USG20 zu tippen... Hast du mal drauf geachtet das die 20er und 60er dasgleiche Firmware Image Release verwenden bzw. hier alles auf dem neuesten Stand ist ?!
Gibt es irgendwelche relevanten, beidseitigen Log Einträge wenn es zum Abbruch und Wiederaufbau Versuch kommt ??
Zitat von @aqui:
Generell sind unterschiedliche Cipher Lifetimes und, wenn konfiguriert, Timeouts und Link Keepalives das Problem für sowas wenn die nicht auf beiden Seiten gleich sind.
Kann auch sein das statt Agressive Mode fälschlicherweise der Main Mode verwendet wurde in der IPsec Konfig.
Da du aber eine stabil laufende Verbindung hast in der Kombination und (hoffentlich) alles quergecheckt hast kann man das vermutlich ausschliessen.
Generell sind unterschiedliche Cipher Lifetimes und, wenn konfiguriert, Timeouts und Link Keepalives das Problem für sowas wenn die nicht auf beiden Seiten gleich sind.
Kann auch sein das statt Agressive Mode fälschlicherweise der Main Mode verwendet wurde in der IPsec Konfig.
Da du aber eine stabil laufende Verbindung hast in der Kombination und (hoffentlich) alles quergecheckt hast kann man das vermutlich ausschliessen.
Korrekt, kann man ausschließen.
Bleibt dann also nur auf einen Bug in der Firmware der USG20 zu tippen... Hast du mal drauf geachtet das die 20er und 60er dasgleiche Firmware Image Release verwenden bzw. hier alles auf dem neuesten Stand ist ?!
Ist die vorletzte Stable drauf (mit der letzten hatten wir Probleme). Werde aber heute Nachmittag nochmal nachschauen.
Gibt es irgendwelche relevanten, beidseitigen Log Einträge wenn es zum Abbruch und Wiederaufbau Versuch kommt ??
Nicht wirklich, ich suche aber die entsprechneden Einträge mal raus...
